Sdílet prostřednictvím

Instalace klienta globálního zabezpečeného přístupu pro Microsoft Windows

Klient globálního zabezpečeného přístupu je základní součástí globálního zabezpečeného přístupu. Pomáhá organizacím spravovat a zabezpečit síťový provoz na zařízeních koncových uživatelů. Klient směruje provoz, který musí být zabezpečen globálním zabezpečeným přístupem do cloudové služby. Veškerý ostatní provoz směřuje přímo do sítě. Profily předávání nastavené na portálu určují, který provoz klient Global Secure Access směruje do cloudové služby.

Poznámka

Globální klient zabezpečeného přístupu je k dispozici také pro macOS, Android a iOS. Informace o tom, jak nainstalovat klienta globálního zabezpečeného přístupu na tyto platformy, najdete v tématu globálního klienta zabezpečeného přístupu pro macOS, globálního klienta zabezpečeného přístupu pro Androida klienta globálního zabezpečeného přístupu pro iOS.

Tento článek popisuje, jak stáhnout a nainstalovat klienta globálního zabezpečeného přístupu pro Windows.

Požadavky

  • Tenant Microsoft Entra byl integrovaný do globálního zabezpečeného přístupu.
  • Spravované zařízení připojené k onboardovanému tenantovi. Zařízení musí být buď připojeno k Microsoft Entra, nebo hybridně propojeno s Microsoft Entra.
    • Registrovaná zařízení Microsoft Entra se nepodporují.
  • Globální klient zabezpečeného přístupu potřebuje 64bitovou verzi Windows 10 nebo Windows 11 nebo Arm64 verze Windows 11.
    • Je podporována jedna relace Azure Virtual Desktopu.
    • Azure Virtual Desktop multi-session se nepodporuje.
    • Podporuje se Windows 365.
  • K instalaci nebo upgradu klienta globálního zabezpečeného přístupu potřebujete přihlašovací údaje místního správce.
  • Globální klient zabezpečeného přístupu potřebuje licenci. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Stáhnout klienta

Nejnovější verze klienta globálního zabezpečeného přístupu je k dispozici ke stažení z Centra pro správu Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
  2. Přejděte ke stažení klienta Global Secure Access>Connect>.
  3. Vyberte Stáhnout klienta. Snímek obrazovky pro stažení klienta se zvýrazněným tlačítkem Stáhnout klienta

Instalace klienta globálního zabezpečeného přístupu

Automatizovaná instalace

Organizace můžou klienta Global Secure Access nainstalovat skrytě s přepínačem /quiet, nebo používat řešení správy mobilních zařízení (MDM), jako Microsoft Intune, k nasazení klienta na svá zařízení.

Nasazení klienta globálního zabezpečeného přístupu pomocí Intune

V této části se dozvíte, jak ručně nainstalovat klienta globálního zabezpečeného přístupu na klientské zařízení s Windows 11 pomocí Intune.

Požadavky

  • Skupina zabezpečení se zařízeními nebo uživateli, která identifikuje, kde nainstalovat klienta globálního zabezpečeného přístupu

Zabalit klienta

Převeďte soubor .exe na .intunewin soubor.

  1. Stáhněte klienta Global Secure Access z administračního centra Microsoft Entra >Global Secure Access>Connect>Stáhnout klienta. V části Windows 11 vyberte Stáhnout klienta.

  2. Přejděte na Microsoft Win32 Content Prep Tool. Vyberte IntuneWinAppUtil.exe.

    Snímek obrazovky s výběrem souboru instalace nástroje pro přípravu

  3. V pravém horním rohu vyberte akce Další soubory a pak vyberte Stáhnout.

    Snímek obrazovky zobrazující nabídku Další akce souborů s možností Stáhnout.

  4. Přejděte na IntuneWinAppUtil.exea spusťte ho. Otevře se příkazový řádek.

  5. Zadejte cestu ke složce umístění souboru Globálního zabezpečeného přístupu .exe. Stiskněte klávesu Enter.

  6. Zadejte název souboru globálního zabezpečeného přístupu .exe. Stiskněte klávesu Enter.

  7. Zadejte cestu ke složce, do které chcete umístit .intunewin soubor. Stiskněte klávesu Enter.

  8. Zadejte N. Vyberte Enter.

    Snímek obrazovky příkazového řádku pro instalaci klienta

Soubor .intunewin je připravený k nasazení Microsoft Intune.

Nasazení klienta globálního zabezpečeného přístupu pomocí Intune

Podrobné pokyny k přidání a přiřazení aplikací Win32 k Microsoft Intune naleznete v části .

  1. Přejděte na https://intune.microsoft.com.

  2. Vyberte Aplikace>Všechny aplikace>Přidat.

  3. V Vyberte typ aplikace, v části Jiné typy aplikací vyberte aplikace pro Windows (Win32).

  4. Vyberte Vybrat. Zobrazí se postup přidání aplikace .

  5. Vyberte Vyberte soubor balíčku aplikace.

  6. Vyberte ikonu složky. Otevřete soubor .intunewin, který jste vytvořili v předchozí části.

    snímek obrazovky s výběrem souboru balíčku aplikace

  7. Vyberte OK.

  8. Nakonfigurujte tato pole:

    • Název: Zadejte název klientské aplikace.
    • Popis: Zadejte popis.
    • Vydavatel: Zadejte Microsoft.
    • verze aplikace(volitelné): Zadejte verzi klienta.

  9. Ve zbývajících polích můžete použít výchozí hodnoty. Vyberte Další.

    snímek obrazovky s možností Přidat aplikaci pro instalaci klienta

  10. Nakonfigurujte tato pole:

    • Příkaz Install: Použijte původní název souboru .exe pro "OriginalNameOfFile.exe" /install /quiet /norestart.
    • příkaz pro odinstalaci: Použijte původní název souboru .exe pro "OriginalNameOfFile.exe" /uninstall /quiet /norestart.
    • Povolit dostupnou odinstalaci: Vyberte Ne.
    • Průběh instalace: Vyberte Systém.
    • chování při restartování zařízení: Vyberte Určit chování na základě návratových kódů.
Návratový kód Typ kódu
0 Úspěch
1707 Úspěch
3010 Úspěch
1641 Úspěch
1618 Zkusit znovu

Poznámka

Návratové kódy jsou vyplněny výchozími kódy ukončení Windows. V tomto případě jsme změnili dva typy kódu na Úspěch, abychom zabránili zbytečným restartům zařízení.

snímek obrazovky programu pro konfiguraci parametrů instalace

  1. Vyberte Další.

  2. Nakonfigurujte tato pole:

    • architektura operačního systému: Vyberte minimální požadavky.
    • Minimální operační systém: Vyberte minimální požadavky.

    snímek obrazovky s požadavky pro konfiguraci parametrů instalace

  3. Zbývající pole nechte prázdná. Vyberte Další.

  4. V části Formát nastavení pravidelvyberte Ručně nastavit pravidla detekce.

  5. Vyberte Přidat.

  6. V části Typ pravidlavyberte Soubor .

  7. Nakonfigurujte tato pole:

    • cesta: Zadejte C:\Program Files\Global Secure Access Client\TrayApp.
    • Soubor nebo složka: Zadejte GlobalSecureAccessClient.exe.
    • Metoda detekce: Vyberte řetězec (verze).
    • Operátor: Vyberte Větší než nebo rovno.
    • hodnota: Zadejte číslo verze klienta.
    • Přidružené k 32bitové aplikaci na 64bitovém klientu: Vyberte Ne.

    snímek obrazovky s pravidlem detekce pro klienta

  8. Vyberte OK. Vyberte Další.

  9. Chcete-li se dostat k Zadání, dvakrát vyberte Další.

  10. V části Povinnévyberte +Přidat skupinu. Vyberte skupinu uživatelů nebo zařízení. Vyberte Vybrat.

  11. Vyberte Další. Vyberte Vytvořit.

Aktualizace klienta na novější verzi

Pokud chcete aktualizovat na nejnovější verzi klienta, postupujte podle kroků Aktualizace obchodní aplikace. Kromě nahrávání nového souboru .intunewin nezapomeňte aktualizovat následující nastavení:

  • Verze klienta
  • Instalace a odinstalace příkazů
  • Hodnota pravidla detekce nastavená na číslo nové verze klienta

V produkčním prostředí je osvědčeným postupem nasadit nové verze klienta v přístupu postupného nasazení:

  1. Prozatím ponechte stávající aplikaci na místě.
  2. Přidejte novou aplikaci pro novou verzi klienta a zopakujte předchozí kroky.
  3. Přiřaďte novou aplikaci malé skupině uživatelů pro pilotní nasazení nové verze klienta. Je v pořádku přiřadit uživatele k aplikaci se starou verzí klienta pro přímý upgrade.
  4. Pomalu zvyšte členství pilotní skupiny, dokud nenasadíte nového klienta na všechna požadovaná zařízení.
  5. Odstraňte aplikaci se starou verzí klienta.

Ruční instalace

Ruční instalace klienta globálního zabezpečeného přístupu:

  1. Spusťte instalační soubor GlobalSecureAccessClient.exe. Přijměte licenční podmínky pro software.
  2. Klient se nainstaluje a tiše vás přihlásí pomocí vašich přihlašovacích údajů Microsoft Entra. Pokud se tiché přihlášení nezdaří, instalační program vás vyzve, abyste se přihlásili ručně.
  3. Přihlášení. Ikona připojení se změní na zelenou.
  4. Najeďte myší na ikonu připojení a otevřete oznámení o stavu klienta, které by se mělo zobrazit jako Připojeno.
    Snímek obrazovky znázorňující připojení klienta

Klientské rozhraní

Pokud chcete otevřít klientské rozhraní globálního zabezpečeného přístupu, vyberte na hlavním panelu systému ikonu Globální zabezpečený přístup. Klientské rozhraní poskytuje zobrazení aktuálního stavu připojení, kanálů nakonfigurovaných pro klienta a přístup k diagnostickým nástrojům.

Zobrazení připojení

V zobrazení Připojení můžete zobrazit stav klienta a kanály nakonfigurované pro klienta. Pokud chcete klienta zakázat, vyberte tlačítko Zakázat . Informace v části Další podrobnosti můžete použít k řešení potíží s připojením klienta. Výběrem možnosti Zobrazit další podrobnosti rozbalíte oddíl a zobrazíte další informace.
Snímek obrazovky zobrazení Připojení v klientském rozhraní globálního zabezpečeného přístupu

Zobrazení řešení potíží

V zobrazení Řešení potíží můžete provádět různé úlohy diagnostiky. Protokoly můžete exportovat a sdílet se správcem IT. Můžete také získat přístup k nástroji Advanced Diagnostics , který poskytuje celou řadu nástrojů pro řešení potíží. Poznámka: Nástroj Advanced Diagnostics můžete spustit také z nabídky ikon na hlavním panelu klienta.
Snímek obrazovky se zobrazením Řešení potíží s klientským rozhraním globálního zabezpečeného přístupu

Zobrazení nastavení

Přepněte do zobrazení Nastavení a zkontrolujte nainstalovanou verzi nebo přejděte k prohlášení společnosti Microsoft o zásadách ochrany osobních údajů.
Snímek obrazovky se zobrazením Nastavení klientského rozhraní globálního zabezpečeného přístupu

Akce klienta

Pokud chcete zobrazit dostupné akce nabídky klienta, klikněte pravým tlačítkem myši na ikonu hlavního panelu systému Global Secure Access.
Snímek obrazovky zobrazující úplný seznam akcí klienta globálního zabezpečeného přístupu

Návod

Akce nabídky klienta globálního zabezpečeného přístupu se liší podle konfigurace klíčů registru klienta .

Akce Popis
Odhlásit se Ve výchozím nastavení je skrytý. Akci Odhlásit se použijte, když se potřebujete přihlásit ke klientovi Global Secure Access pomocí jiného uživatele Microsoft Entra než toho, který se používá pro přihlášení k systému Windows. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta.
Zakázat Vyberte akci Zakázat a zakažte klienta. Klient zůstane zakázaný, dokud klienta neaktivujete nebo nerestartujete počítač.
Povolit Povolí klienta globálního zabezpečeného přístupu.
Zakázání privátního přístupu Ve výchozím nastavení je skrytý. Akci Zakázat privátní přístup použijte, pokud chcete obejít globální zabezpečený přístup při každém připojení zařízení přímo k podnikové síti pro přístup k privátním aplikacím přímo přes síť, nikoli prostřednictvím globálního zabezpečeného přístupu. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta.
Shromáždění protokolů Tuto akci vyberte, pokud chcete shromažďovat protokoly klienta (informace o klientském počítači, související protokoly událostí pro služby a hodnoty registru) a archivovat je do souboru ZIP, který chcete sdílet s podpora Microsoftu pro šetření. Výchozí umístění protokolů je C:\Program Files\Global Secure Access Client\Logs. Protokoly klienta ve Windows můžete také shromažďovat zadáním následujícího příkazu do příkazového řádku: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Pokročilá diagnostika Tuto akci vyberte, pokud chcete spustit nástroj Advanced Diagnostics a získat přístup k široké škále nástrojů pro řešení potíží.

Indikátory stavu klienta

Oznámení o stavu

Poklikáním na ikonu Globální zabezpečený přístup otevřete oznámení o stavu klienta a zobrazte stav každého kanálu nakonfigurovaného pro klienta.
Snímek obrazovky znázorňující stav připojení klienta.

Stav klienta v ikoně na hlavním panelu systému

Ikona Zpráva Popis
Globální zabezpečený přístup Klient inicializuje a kontroluje připojení ke globálnímu zabezpečenému přístupu.
Globální zabezpečený přístup – připojeno Klient je připojený ke globálnímu zabezpečenému přístupu.
Globální zabezpečený přístup – zakázáno Klient je zakázán, protože služby jsou offline nebo uživatel zakázal klienta.
Globální zabezpečený přístup – Odpojeno Klientovi se nepodařilo připojit ke globálnímu zabezpečenému přístupu.
Globální zabezpečený přístup – Některé kanály jsou nedostupné Klient je částečně připojený ke globálnímu zabezpečenému přístupu (to znamená, že připojení k alespoň jednomu kanálu selhalo: Microsoft Entra, Microsoft 365, privátní přístup, internetový přístup).
Globální zabezpečený přístup – Zakázáno vaší organizací Vaše organizace deaktivovala klienta (to znamená, že jsou deaktivovány všechny profily směrování provozu).
Globální zabezpečený přístup – Privátní přístup je zakázaný Uživatel na tomto zařízení zakázal privátní přístup.
Globální zabezpečený přístup – nejde se připojit k internetu Klient nemohl rozpoznat připojení k internetu. Zařízení je buď připojené k síti, která nemá připojení k internetu, nebo síť, která vyžaduje přihlášení k portálu v kaptivním přístupu.

Známá omezení

Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.

Řešení problému

Pokud chcete vyřešit potíže s klientem globálního zabezpečeného přístupu, klikněte pravým tlačítkem myši na ikonu klienta na hlavním panelu a vyberte jednu z možností řešení potíží: Shromážděte protokoly nebo rozšířenou diagnostiku.

Návod

Správci mohou upravit možnosti nabídky klienta globálního zabezpečeného přístupu změnou klíčů registru klienta.

Podrobnější informace o řešení potíží s klientem globálního zabezpečeného přístupu najdete v následujících článcích:

Klíče registru klienta

Klient globálního zabezpečeného přístupu používá k povolení nebo zakázání různých funkcí konkrétní klíče registru. Správci můžou pro řízení hodnot registru použít řešení pro správu mobilních zařízení (MDM), jako je Microsoft Intune nebo Zásady skupiny.

Upozornění

Neměňte jiné hodnoty registru, pokud není uvedeno v pokynu podpory Microsoftu.

Omezení neprivilegovaných uživatelů

Správce může zabránit neprivilegovaným uživatelům na zařízení s Windows zakázat nebo povolit klienta nastavením následujícího klíče registru:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Údaje Popis
0x0 Neprivilegovaní uživatelé na zařízení s Windows můžou klienta zakázat a povolit.
0x1 Neprivilegovaní uživatelé na zařízení s Windows nemohou zakázat ani povolit klienta. Výzva nástroje Řízení uživatelských účtů vyžaduje přihlašovací údaje místního správce pro možnosti zakázání a povolení. Správce může také skrýt tlačítko deaktivace (viz Skrýt nebo zobrazit tlačítka nabídky systémové lišty).

Zakázání nebo povolení privátního přístupu v klientovi

Tato hodnota registru určuje, jestli je pro klienta povolený nebo zakázaný privátní přístup. Pokud je uživatel připojený k podnikové síti, může se rozhodnout obejít globální zabezpečený přístup a přímo přistupovat k privátním aplikacím.

Uživatelé můžou zakázat a povolit privátní přístup prostřednictvím nabídky hlavního panelu systému.

Návod

Tato možnost je dostupná jenom v případě, že není skrytá (viz Skrýt nebo zobrazit tlačítka nabídky na hlavním panelu systému) a pro tohoto tenanta je povolený privátní přístup.

Správci můžou zakázat nebo povolit privátní přístup pro uživatele nastavením klíče registru:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Hodnota Typ Údaje Popis
JeSoukromýPřístupZakázánUživatelem REG_DWORD 0x0 Na tomto zařízení je povolený privátní přístup. Síťový provoz do privátních aplikací prochází přes globální zabezpečený přístup.
JeSoukromýPřístupZakázánUživatelem REG_DWORD 0x1 Privátní přístup je na tomto zařízení zakázaný. Síťový provoz do privátních aplikací směřuje přímo do sítě.

Snímek obrazovky zobrazující Editor registru se zvýrazněným klíčem registru IsPrivateAccessDisabledByUser

Pokud hodnota registru neexistuje, výchozí hodnota je 0x0, je povolený privátní přístup.

Skrytí nebo zobrazení tlačítek v systémové liště

Správce může v nabídce ikon na hlavním panelu klienta zobrazit nebo skrýt konkrétní tlačítka. Vytvořte hodnoty pod následujícím klíčem registru:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Hodnota Typ Údaje Výchozí chování Popis
SkrýtTlačítkoOdhlásit REG_DWORD 0x0 – zobrazený 0x1 – skrytý skryto Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Odhlásit se. Tato možnost je určená pro konkrétní scénáře, kdy se uživatel musí přihlásit k klientovi s jiným uživatelem Microsoft Entra, než který se používá k přihlášení do Windows. Poznámka: Musíte se přihlásit k klientovi pomocí uživatele ve stejném tenantovi Microsoft Entra, ke kterému je zařízení připojené. K opětovnému ověření existujícího uživatele můžete také použít akci Odhlásit.
Skrýt a zakázat tlačítko pro soukromý přístup REG_DWORD 0x0 – zobrazený 0x1 – skrytý skryto Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Zakázat privátní přístup . Tato možnost je určená pro scénář, kdy je zařízení přímo připojené k podnikové síti a uživatel preferuje přístup k privátním aplikacím přímo přes síť místo prostřednictvím globálního zabezpečeného přístupu.
Skrýt tlačítko deaktivace REG_DWORD 0x0 – zobrazený 0x1 – skrytý ukázaný Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Zakázat . Když je uživatel viditelný, může zakázat klienta globálního zabezpečeného přístupu. Klient zůstane zakázaný, dokud ho uživatel znovu neaktivuje. Pokud je akce Zakázat skrytá, neprivilegovaný uživatel nemůže klienta zakázat.

Snímek obrazovky zobrazující Editor registru se zvýrazněnými klíči registru HideSignOutButton a HideDisablePrivateAccessButton

Další informace najdete v tématu Pokyny ke konfiguraci protokolu IPv6 ve Windows pro pokročilé uživatele.

Související obsah